講演概要
アプリケーション セキュリティのために工数がかかり開発期間が長くなってしまっていませんか?パイプラインにセキュリティの自動化プロセスを統合することで、セキュリティを堅牢化しつつ開発の高速化も実現します。今回は開発現場の課題を振り返りつつ、手戻りゼロで高速かつセキュリティの専門家不要でセキュアな開発を実現する方策をご紹介し、後半は FortiDevSec のデモを交えた具体的な実践方法をご覧いただきます。
セッション レベル:初級
取り上げる主な Google Cloud 製品 / サービス
Cloud Build
Compute Engine
所感
まさに今開発中のサービスでも最後に外部業者に脆弱性チェックをしてもらえばいいや、と思っていました・・・
それによる手戻りはスケジュールに組み込んでいないのでそれが開発プロセスの中で解決できるのであれば今すぐにでも取り入れたいなあと思いました。
FortiDevSecを使うかはともかく、SASTだけでもやっておきたいですね。
また、IaCを採用するメリットとしてIaCスキャンを使うことでインフラのリスクを静的解析できるというのも大きな発見。
まだ経験値が浅くてIaCを採用しないケースも多いんですが、こういったサービスを最大限活用する目的でもIaCを採用してく1つの理由になりそうです。
セッションメモ
概要
アプリケーションセキュリティのお話
チェックシートを使ったり外部診断サービスに依頼したりしているのでは?
これらはコストがかかるので、それらを開発しながらタイムリーに診断ができるようにする
それによって手戻りなくかんたんに高いセキュリティのまま素早く実装できる
問題点
脆弱性の大半はソフトウェア起因でだが、アプリケーションセキュリティに割かれるコストは多くないという現状
DevOpsの中にセキュリティが取り込まれていないことが多い(知識不足、重要性の認知不足、リリース前のスポット対応している。そのため、脆弱性に気づくのが後工程になりがちで、手戻りが大きく結果としてサービスのリリースを阻害していることも多い)
高機能高付加価値のニーズに対応するためにコード量の増大、システムの複雑化
OSSを使う,ネットからコピペしたコードなど中身も多種多様になっている
OSSにも脆弱性がないかを気遣う必要がある
DevSecOps
開発運用フェーズの中にセキュリティへの取り組みを統合することで堅牢性を確保しながらも手戻りがない高速開発を実現する
シフトレフト
より前工程で実施することで手戻りをなくす
具体的な手法
開発中にタイムリーに解決
→ SAST(静的アプリケーション解析)
OSSを継続的にモニタ
→ SCA(ソフトウェアコンポジション解析)
攻撃余地がないかチェック
→ DAST(動的アプリケーション解析)
FortiDevSec
SAST、SCA、DAST、Secretスキャン、IaCスキャンなど統合したAppSecツール
CI/CDに組み込むことが可能
マニュアルスキャンも可
JIRA連携
5ユーザー USD 500/月(ユーザーは開発者単位)
14日間フリートライアル可能(トライアル後課金)
修正すべき脆弱性を特定する機能(さまざまな観点での絞り込みができる)